Исследователи безопасности Google Project Zero изменили правила, по которым будут публиковать информацию о найденных уязвимостях: теперь отчёты будут выходить не вместе с патчами, если те готовы раньше стандартного 90-дневного срока, который отводится на закрытие багов, а только по окончании этого периода, пишет Engadget.
Раньше на устранение проблем разработчикам давалось 90 дней, а отчёт публиковался либо по истечении этого срока, либо раньше, если исправления были готовы быстрее. Из-за этого пользователям приходилось торопиться с их установкой, чтобы уязвимостями не успели воспользоваться хакеры, а сами патчи нередко выходили «сырыми».
Теперь команда Project Zero будет ждать, пока не пройдут все 90 дней после оповещения разработчиков о проблеме, независимо от того, на какой день были выпущены обновления. Так у пользователей будет больше времени, чтобы загрузить их, пока об уязвимостях не станет широко известно, а у разработчиков — чтобы проверить качественность патчей.
Впрочем, Google оставляет возможность обнародовать информацию досрочно по обоюдному согласию компаний. Также при необходимости стандартный период может быть продлён на 14 дней. Для уязвимостей, которые уже эксплуатируются злоумышленниками, дедлайн не изменился: по-прежнему 7 дней.
Project Zero будет тестировать новые правила в течение 2020 года, после чего решит, будет ли внедрять их на постоянной основе.
По словам исследователей, в 2014 году, когда было создано подразделение, некоторые разработчики могли не исправлять баги по 6 месяцев. К настоящему времени за 90 дней закрывается 97,7% уязвимостей.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.